В статье рассматриваются глобальные тенденции в области кибербезопасности автотранспорта и обосновывается необходимость повышения приоритетности задач в этой сфере в России.
Михаил Брячак
Первый заместитель генерального директора ОАО "НИИАТ"
За рубежом кибербезопасность автотранспорта уже является одним из приоритетов отрасли. В России есть сильные инженерные школы и растущая электронная компонентная база, но без управляемых процессов кибербезопасности мы ограничим и темпы инноваций, и экспортную пригодность наших автомобилей.
Телематические системы в автомобилях: глобальные тенденции и перспективы
В отчете "Глобальный рынок телематических решений для автомобильной промышленности" и других фундаментальных исследованиях отмечается, что фактически все ведущие мировые автопроизводители сегодня запустили массовые сервисы с использованием встроенных телематических систем. Согласно исследованию, 79% всех новых автомобилей, проданных по всему миру в 2024 г., были оснащены телематической системой, встроенной производителем, по сравнению с 75% в 2023 г.
Ожидается, что к 2025 г. уровень подключения в странах ЕС и Великобритании достигнет 100% по сравнению с 97% в 2024 г. В Китае уровень подключения к 2024 г. достиг 84%. К другим развитым рынкам подключаемых автомобилей относят Россию, Японию и Южную Корею. В прочих регионах уровень подключения составляет около 30–40% (рис. 1).
Поскольку многие крупные бренды, такие как Toyota, GM, Stellantis, Ford, Volkswagen, Hyundai, Honda и Nissan, теперь предлагают бесплатные подключенные сервисы на своих основных рынках, в ближайшие годы они обеспечат значительную часть роста числа подписок на услуги подключенных автомобилей (рис. 2).
Премиальные бренды – BMW, Mercedes-Benz и Audi уже более 10 лет предлагают телематические услуги в качестве стандартной функции для разных моделей и регионов и имеют значительное количество подписчиков.
Другие крупные автомобильные бренды, предлагающие встраиваемую телематику в широком масштабе, включают Kia, Tesla, Renault, Geely, BY D, Volvo Cars, Mazda, SAIC, Chery, Subaru, Porsche, Lexus и Changan Motors. Относительно новые бренды в Китае, такие как Leapmotor, Li Auto и NIO, также предлагают встраиваемые телематические услуги. Результаты исследований свидетельствуют о том, что в 2024 г. общий объем поставок встраиваемых телематических систем OEM достиг 64,5 млн единиц по всему миру. Ожидается, что в 2029 г. доля поставок подключаемых автомобилей достигнет 82,1 млн, или 93% транспортных единиц (рис. 3).
Производители автомобилей используют услуги, предоставляемые операторами мобильной связи, поставщиками платформ управления подключением и поставщиками телематических сервисов. В результатах исследований также отмечаются основные тенденции развития рынка подключаемых автомобилей на ближайшие годы:
- внедрение персональных помощников на базе искусственного интеллекта для удобства вождения;
- беспроводные обновления бортового программного обеспечения;
- рыночные услуги безопасности, определяемые региональными требованиями.
Расширение поверхности атак
Вместе с расширением удобства и сервисов растет и поверхность атак. В настоящее время в мире приняты три основных стандарта в области кибербезопасности транспортных средств:
- R155 – управление киберрисками у производителей (Cyber Security Management System, CSMS). Это нормативный акт ООН, устанавливающий требования к кибербезопасности для транспортных средств.
- R156 – безопасные обновления ПО (Software Update Management System, SUMS) и идентификация версий. Этот нормативный акт ООН, устанавливающий требования к обеспечению безопасности программных обновлений.
- ISO/SAE 21434 – международный стандарт, устанавливающий требования к инженерии кибербезопасности для дорожных транспортных средств, разработанный совместно ISO и SAE International в 2021 г. Он охватывает весь жизненный цикл электроники и программного обеспечения автомобиля, от разработки до эксплуатации и утилизации, чтобы снизить риски кибератак. Стандарт обеспечивает единый подход к управлению кибербезопасностью и помогает компаниям соответствовать требованиям UN R155.
В ЕС соответствие этим нормам уже обязательное, что является фильтром доступа на рынок.
Важно, что все эти три документа требуют одного и того же – прослеживаемости, то есть каждое решение должно компенсировать конкретный риск, реализовывать конкретное требование, а его реализация должна завершаться проверкой.
На практике это означает наличие программ и методик, отчетов испытаний, регламентов управления изменениями и внутреннего аудита. Для одобрения типа транспортного средства производитель предоставляет доказательную базу – материалы, которые подтверждают, что процессы налажены и обеспечивают требуемый результат.
Проблемы законодательной базы
В настоящее время в нашей стране в сфере кибербезопасности автотранспорта в законодательной базе существуют такие проблемы, как несогласованность инициатив и отсутствие единых процессов и ответственности. Это приводит к росту рисков инцидентов и экономических потерь, а также наносит ущерб доверию граждан и снижает экспортный потенциал отрасли.
Сегодня в России нет обязательных прямых аналогов R155 и R156, поэтому мы можем ускориться за счет формирования национального документа, опираясь на международный опыт и ISO/SAE 21434 как методологическую основу – это во-первых. Во-вторых, нам срочно нужна унифицированная методика анализа защищенности программного обеспечения электронных блоков управления, с четкими шагами, критериями приемки мер защиты и перечнем подтверждающих документов.
В третьих, требуется институциональная опора – центр компетенций отрасли, который обеспечит методики испытаний, реализацию функций мониторинга и сопровождение производителей и поставщиков по вопросам кибербезопасности.
ОАО "НИИАТ" сформулировало следующие инициативы по упорядочению разрозненных инициатив и центрам ответственности:
- Разработка национального стандарта/регламента на основе R155, R156, ISO 21434.
- Формирование методики анализа защищенности ПО ЭБУ.
- Введение процедуры сертификации CSMS и SUMS для российских производителей подключаемых автомобилей.
- Создание отраслевого центра компетенций по кибербезопасности транспорта.
Роли участников процесса
Для эффективного решения вопросов кибербезопасности автотранспорта мы предлагаем распределить роли следующим образом. Минтранс и Минпромторг должны осуществлять госрегулирование и разрабатывать нормативно-правовые акты. Росстандарт – разрабатывать и утверждать соответствующие ГОСТы. Орган одобрения типа транспортного средства проверяет CSMS/SUMS при сертификации. Аккредитованные испытательные центры создают методики и тесты. Отраслевой центр компетенций/VSOC занимается мониторингом, аналитикой, созданием и ведением базы уязвимостей, взаимодействует с производителями и поставщиками.
Первоочередные меры
Итак, можно выделить следующие первоочередные ключевые меры, необходимые для успешного развития сферы кибербезопасности автотранспорта в нашей стране:
- формирование единой государственной политики в данной области;
- внедрение управляемых процессов на уровне отрасли;
- обеспечение соответствия законодательной базы международным практикам.
Это позволит использовать инженерный и технологический потенциал России для устойчивого развития отечественного автопрома и страны в целом.
Вопрос кибербезопасности автотранспорта поднимался на Транспортной неделе 2025 г. на сессии "Кибербезопасность автотранспорта". Участники сессии отметили необходимость следующих мер:
1. Разработка и внедрение национальных нормативов, гармонизированных с международными требованиями (R155, R156, ISO/SAE 21434). При этом международный опыт нужно адаптировать к российским реалиям, чтобы учитывать специфику локальной инфраструктуры связи.
2. Создание Национального центра сертификации систем кибербезопасности подключаемых транспортных средств для проверки новых моделей автомобилей на соответствие обязательным требованиям. Центр будет служить инструментом поддержки отечественных автопроизводителей и обеспечит контроль импортируемой техники.
3. Формирование полигона для тестирования киберустойчивости автомобилей для отработки кибератак и разработки методических рекомендаций и тестовых сценариев с привлечением автопроизводителей и учетом международного опыта.
4. Создание Единого центра мониторинга и реагирования (VSOK) в автомобильной отрасли, включая формирование единой базы инцидентов, обмен информацией об уязвимостях, круглосуточный мониторинг киберугроз и организацию экстренного реагирования.
5. Организация центров обучения специалистов по автомобильной кибербезопасности. Подготовка кадров в профильных вузах, повышение квалификации инженерных и ИТ-специалистов автопрома.
6. Проведение информационной кампании о важности кибербезопасности с целью повышения осведомленности производителей и водителей.
1 Из отчета "Глобальный рынок телематических решений для автомобильной промышленности".
Иллюстрации предоставлены автором.
Иллюстрация к статье сгенерирована нейросетью Kandinsky